Vidéosurveillance et protection des données en entreprise
Article mis à jour le 27-06-2026
Caméras dans les locaux, badges, journaux informatiques ou suivi des entrées et sorties. En 2026, beaucoup de sociétés en Suisse romande collectent des informations sur le personnel sans cadrage précis. Elles découvrent alors trop tard que cela peut se retourner contre elles en cas de conflit avec un employé ou lors d'une vérification. L'équipe JuriUp vous explique les bonnes pratiques selon la législation suisse, avec un focus sur la proportionnalité, la transparence et la documentation interne.
La question posée
« Nous avons une société avec des locaux à Genève et dans le canton de Vaud. Nous voulons installer des caméras à l'entrée, dans l'entrepôt et près des caisses, et mettre en place un contrôle d'accès par badge avec un historique des passages. Est-ce compatible avec la législation en 2026, et que faut-il documenter pour éviter un problème si un employé conteste ? »
Équipe JuriUp
Équipe de rédaction et de contenu juridique JuriUp, en collaboration avec des avocats partenaires en protection des données et droit du travail.
La réponse de l'équipe JuriUp
En Suisse, la loi sur la protection des données s'applique pleinement au contexte professionnel, y compris quand il s'agit de vidéosurveillance interne et de contrôle des accès. En 2026, le risque le plus fréquent n'est pas l'existence d'un badge ou d'une caméra en soi, mais l'absence de cadrage et une collecte trop large, trop longue ou utilisée à d'autres fins que celles annoncées.
1. Comprendre les enjeux de la loi sur la protection des données
Dans la pratique quotidienne, on parle souvent de système de sécurité. Pourtant, un enregistrement vidéo, un historique de badge, un journal d'ouverture de porte ou un relevé d'heures peuvent vite devenir des données personnelles. Ces éléments permettent d'identifier une personne, de reconstituer ses déplacements, ses horaires ou même ses habitudes.
Les points sensibles selon la législation suisse sont généralement les suivants (la finalité, la transparence, la proportionnalité, la sécurité et la durée de conservation). Il ne faut rien garder sans motif valable.
Attention En contexte professionnel, le consentement n'est pas toujours un bon filet de sécurité. Dans la plupart des cas, on évite de baser tout le dispositif sur un simple accord. On travaille plutôt sur une base organisationnelle claire, des intérêts légitimes bien définis et des mesures proportionnées selon la situation concrète.
2. Vidéosurveillance interne ce qui est autorisé et ce qui bloque
Une vidéosurveillance peut être pertinente pour la sécurité des personnes, la protection des biens ou le contrôle de zones sensibles. Là où les sociétés se mettent en danger, c'est quand la caméra sert indirectement à surveiller la performance, à vérifier des pauses ou à documenter un comportement sans cadre.
En pratique, ce qui aide à rester du bon côté de la proportionnalité, c'est d'installer des caméras là où le risque est réel. Il faut éviter les zones de pause et les postes de travail filmés en continu, limiter l'angle de vue et restreindre strictement l'accès aux images.
- Affichage clair sur place avec une information compréhensible et une personne de contact interne.
- Finalité écrite dans une politique interne (par exemple la sécurité des accès et la protection des biens).
- Accès limité aux images à un cercle restreint avec des règles de consultation et de traçabilité.
- Conservation courte et suppression régulière en tenant compte des besoins réels et des usages annoncés.
Réflexe utile
Si vos caméras sont posées simplement parce que tout le monde le fait, vous êtes déjà dans une zone à risque. La bonne question est de savoir quel incident concret vous cherchez à prévenir et si vous pourriez atteindre le même objectif avec moins de données ou moins d'intrusion.
3. Contrôle des accès badges, serrures connectées et journaux
Le contrôle d'accès est souvent plus acceptable que la vidéo, car il se limite à un événement de sécurité (par exemple une entrée dans une zone donnée à un moment donné). Il devient toutefois sensible quand vous exploitez l'historique comme un outil de surveillance global ou quand vous conservez des journaux détaillés pendant une longue période sans nécessité.
Les bonnes pratiques généralement admises en Suisse consistent à définir une finalité claire (comme la gestion des droits d'accès ou la sécurité des locaux) et à séparer autant que possible la sécurité de la gestion du personnel. Il est aussi utile de préciser qui peut consulter les données, dans quel cas et selon quelle procédure interne.
- Limiter les informations enregistrées au minimum utile (identifiant de badge, porte, date et heure).
- Éviter de croiser systématiquement les accès avec d'autres données sans justification documentée.
- Prévoir un processus interne pour les demandes d'accès d'un employé à ses propres informations.
- Encadrer les extractions de données en cas d'incident avec un motif et une validation interne.
4. Le piège de la proportionnalité exemples concrets
La proportionnalité est le point qui pose le plus souvent problème. Ce n'est pas une question théorique. En cas de litige, l'entreprise doit pouvoir expliquer simplement pourquoi la mesure était nécessaire et pourquoi elle était calibrée au plus juste.
Exemples fréquents de pièges vus dans des situations en Suisse romande
- Installer une caméra qui filme un poste de travail en continu alors que l'objectif réel est la prévention du vol.
- Filmer une zone de pause ou une cafétéria, ou capter largement des zones non concernées par le risque.
- Conserver les images ou les données de badge indéfiniment ou sans règle de suppression documentée.
- Utiliser des images ou des accès collectés pour la sécurité comme outil de contrôle disciplinaire sans cadre annoncé.
- Donner l'accès aux images ou aux données à trop de personnes, ou sans traçabilité interne.
Ce qui se retourne contre vous Même quand un incident existe, une collecte excessive peut fragiliser votre position. En cas de conflit (licenciement contesté, reproches de comportement, accusations réciproques), la question n'est pas seulement de savoir ce qu'a montré la caméra, mais aussi si le dispositif était légitime et correctement encadré.
5. Documentation politique interne, registres et preuves
En 2026, la meilleure protection de l'entreprise est souvent la qualité de sa documentation. Une caméra non documentée ou un contrôle d'accès installé sans règles peut donner l'impression d'un système improvisé. À l'inverse, une documentation simple, cohérente et appliquée au quotidien rassure et réduit le risque de contestation.
Selon votre organisation, vous pouvez prévoir une documentation facile à maintenir
- Une politique interne courte sur la vidéosurveillance et le contrôle des accès avec finalités, zones concernées et personne de contact.
- Un inventaire des systèmes recensant les emplacements des caméras, les champs filmés, la liste des portes contrôlées et les prestataires impliqués.
- Des règles d'accès précisant qui peut consulter, à quelles conditions et comment les consultations sont tracées.
- Des règles de conservation incluant la durée, la suppression, les exceptions en cas d'incident et la procédure de conservation prolongée si nécessaire.
- Une fiche de gestion des incidents détaillant comment vous documentez une consultation d'images ou de données, et pourquoi.
Si vous travaillez avec un partenaire externe (caméras connectées, cloud, maintenance), le volet contractuel et les mesures de sécurité deviennent aussi centraux. Dans le doute, un avis d'un avocat spécialisé en protection des données vous évite de découvrir trop tard une faiblesse dans la chaîne.
6. Bonnes pratiques pour les cantons romands
Dans les différents cantons romands, les attentes pratiques sont souvent similaires (transparence envers les collaborateurs, limitation des accès et justification de la nécessité). Les spécificités peuvent toutefois varier selon votre secteur, vos conventions internes ou des règles locales applicables à certains environnements comme les lieux accueillant du public.
Le plus important est d'éviter une approche uniforme. Un entrepôt, une caisse et un bureau administratif n'ont pas le même niveau de risque, donc pas le même besoin de surveillance. Une analyse simple par zone avec une finalité et une mesure proportionnée est souvent plus solide qu'un dispositif identique partout.
Si vous voulez sécuriser rapidement votre dispositif
Décrivez votre contexte en quelques minutes, puis demandez une relecture de votre politique interne et de votre paramétrage (zones filmées, accès aux images, conservation). Sur JuriUp, vous pouvez trouver un expert juridique adapté à votre région et à votre secteur, sans perdre du temps à appeler au hasard.
Pour aller plus loin sur des sujets juridiques pratiques du quotidien, vous pouvez aussi parcourir le blog juridique JuriUp. Si votre entreprise gère des litiges personnels, la page sur la médiation familiale peut également s'avérer utile.
Les points clés à retenir
En entreprise, la vidéosurveillance et le contrôle d'accès relèvent souvent des données personnelles et donc de la loi sur la protection des données.
Le risque principal vient d'une finalité floue, d'un usage implicite de surveillance et d'une conservation trop longue.
La proportionnalité se joue sur le terrain (zones filmées, angle, accès aux images, données collectées et durée de conservation).
Une documentation simple, appliquée et tenue à jour est souvent votre meilleure protection en cas de contestation.
En cas de doute, un avis ciblé d'un avocat en protection des données évite des erreurs coûteuses.
Démarches recommandées
- Cartographier vos dispositifs (où sont les caméras, quelles zones, quelles portes, quelles informations).
- Écrire la finalité par dispositif en séparant la sécurité des locaux et la gestion administrative lorsque c'est possible.
- Réduire au minimum (cadrage des caméras, zones exclues, historique limité).
- Définir des règles internes sur l'accès aux images et aux historiques avec une stricte traçabilité.
- Fixer une durée de conservation réaliste et appliquer une suppression régulière avec une procédure d'exception en cas d'incident.
- Informer clairement les collaborateurs et garder une preuve de l'information et des politiques en vigueur.
- Faire valider le dispositif et la documentation par un avocat si votre situation est sensible.
Vous voulez éviter un faux pas dans vos pratiques internes ?
Décrivez votre situation sur JuriUp et recevez une orientation vers un avocat en protection des données ou un juriste adapté à votre cas en Suisse romande. La mise en relation est gratuite et vos échanges restent confidentiels.
Questions fréquentes
-
Peut-on installer des caméras dans les locaux sans informer les collaborateurs ?
En règle générale, c'est interdit. En Suisse, la transparence fait partie des attentes clés en matière de protection des données. Des exceptions peuvent exister selon les circonstances (notamment si une information préalable compromettrait un objectif de sécurité concret), mais cela doit être évalué avec prudence et documenté. En cas de doute, faites valider votre approche par un avocat via JuriUp.
-
Est-ce que les données de badge sont des données personnelles ?
Souvent oui, dès lors qu'un badge ou un identifiant peut être rattaché à une personne. Même si les informations paraissent techniques, elles peuvent permettre de reconstituer des présences et des déplacements. L'enjeu est de limiter la collecte, de définir une finalité et de contrôler l'accès à ces informations.
-
Peut-on utiliser des images de vidéosurveillance pour sanctionner un collaborateur ?
Cela dépend beaucoup du contexte et du cadrage annoncé. Le risque apparaît lorsque la vidéo est mise en place pour la sécurité, puis utilisée comme outil de surveillance du travail sans base interne claire. Si vous anticipez ce scénario, mieux vaut faire analyser votre dispositif et votre règlement interne par un expert juridique sur JuriUp.
-
Que faut-il conserver comme documentation en cas de contestation ?
En pratique, conservez au minimum une politique interne, une cartographie des caméras et accès, des règles de visionnage ainsi qu'une règle de conservation et de suppression. Garder une trace des consultations d'images ou de données lors d'un incident est aussi un bon réflexe.
-
Notre société a des sites dans plusieurs cantons. Doit-on adapter les règles ?
Souvent oui, au moins dans l'application pratique. Le droit fédéral s'applique, mais certaines exigences organisationnelles et certains contextes locaux peuvent varier. Une validation par un avocat permet de sécuriser une politique unique, avec des annexes par site si nécessaire.